防火墙、后端 服务器 安全防护软件、业务限速策略拦截。 现象：防护 域名 开启“WEB基础防护”之后正常，但是一段时间后就报502，或者大概率出现502。 解决方法：将高防的回源IP段添加到防火墙（硬件或软件）、安全防护软件、业务限速模块的白名单。 源站配置错误 现象：防护域名开启“WEB基础防护”之后，访问页面返

查看更多 →

过WAF独享引擎回源IP转发到源站服务器。网站接入WAF后，流量访问示意图如图1所示。 图1 网站访问示意图 流量访问说明如下： 用户在浏览器输入域名后，客户端会向DNS发送请求，查询域名解析地址。 DNS返回域名解析地址。 如果无代理（例如CDN、DDos高防等），DNS返回的

查看更多 →

致业务整体故障。 图1 回源IP 回源IP检测机制 回源IP（该IP在回源IP段中）是随机分配的。回源时WAF会监控回源IP的状态，如果该IP异常，WAF将剔除该异常IP并随机分配正常的回源IP接收/转发访问请求。 为什么需要放行回源IP段？ WAF实例的IP数量有限，且源站服务

查看更多 →

05 实践 基于业务场景及客户需求的最佳实践，助您快速使用WAF防护您的网站。 防护Web业务 单独使用WAF的配置指导 同时部署DDoS高防和WAF的配置指导 同时部署CDN和WAF的配置指导 网站防护配置建议 CDN回源OBS桶场景下连接WAF TLS协议最佳实践 源站保护最佳实践

查看更多 →

7）如何进行相关设置，以获取客户端的真实IP。 方案架构 通常情况下，网站访问并不是简单地从用户的浏览器直达服务器，中间可能部署有CDN、WAF、高防等代理服务器（架构为“用户 > CDN/WAF/高防等代理服务 > 源站服务器”）。以WAF为例，部署示意图如图1所示。 图1 部署WAF原理图 当网站没有接入到W

查看更多 →

建议优先配置精准的IP（如192.168.10.5），减少网段配置，避免误拦截。 对于反向代理IP（如内容分发网络（CDN）、DDoS高防、 Web应用防火墙 （WAF）的回源IP），请谨慎配置阻断策略，建议配置放行的防护规则或白名单。 对于正向代理IP（如公司出口IP），影响范围较大，请谨慎配置阻断策略。

查看更多 →

在网站列表右侧上方，单击“Web应用防火墙回源IP网段”，查看Web应用防火墙所有回源IP段。 Web应用防火墙的回源IP网段会定期更新，及时将更新后的回源IP网段添加至相应的安全组规则中，避免出现误拦截。 在“Web应用防火墙的回源IP网段”对话框，单击“复制IP段”，复制所有回源IP。 图2 Web应用防火墙的回源IP网段

查看更多 →

转换地址组”。 WAF回源IP地址组：提供Web应用防火墙（WAF）服务云模式的回源IP地址，回源IP的相关信息请参见什么是回源IP？。 引用至防护规则，如果回源IP改变，无需手动修改，防火墙每天自动更新地址组中的IP地址。 添加至黑/白名单，如果回源IP改变，您需手动修改对应黑/白名单中的IP地址。

查看更多 →

华为云CDN可以提供所有的节点IP地址和回源IP地址吗？ CDN节点的公网节点IP地址会因节点维护而存在不定期的变化的情况，已下线的节点无法正常提供服务，因此无法提供所有节点IP地址和回源IP地址。 父主题： 功能咨询

查看更多 →

WAF只缓存配置了网页防篡改的静态网页，用于将缓存的未被篡改的网页返回给Web访问者，以达到防篡改的目的。 如果您需要缓存所有的网站内容，可以选择部署CDN，WAF部署在CDN和源站之间，具体的配置方式请参见同时部署CDN和WAF的配置指导。 WAF会缓存网站数据吗？ WAF的网页防篡改功能，

查看更多 →

云锁或云盾等安全防护软件），这些软件把WAF的回源IP当成了恶意IP，拦截了WAF转发的请求 源站服务器配置放行WAF回源IP的访问控制策略。 云模式：请参见如何放行云模式WAF的回源IP段？。 独享模式：请参见放行独享引擎回源IP。 原因二：网站的后端配置了多个服务器，其中某个源站不通

查看更多 →

系统管理 查询WAF回源IP信息 父主题： API

查看更多 →

黑白名单请参见导入/导出防护策略。 如果IP为Web应用防火墙（WAF）的回源IP，建议使用白名单或配置放行的防护规则，请谨慎配置黑名单规则，否则可能会影响您的业务。 回源IP的相关信息请参见什么是回源IP？。 配置防护规则请参见通过添加防护规则拦截/放行流量。 规格限制 云防火

查看更多 →

查询页面配置信息 waf:consoleConfig:get √ √ 查询回源IP段 waf:sourceIp:get √ √ 更新防敏感信息泄漏规则 waf:antiLeakageRule:put √ √ 更新网页防篡改规则 waf:antiTamperRule:put √ √ 更新CC攻击防护规则

查看更多 →

危险等级 危险等级包括：严重、高、中、低。 规则ID 对应规则的ID号。 规则名称 规则库中相对应的命中规则名称。 源IP 攻击事件的来源IP。 标签 IP类型标识。 其它标签：非WAF回源IP，无需特别处理。 WAF回源IP：“源IP”是WAF回源IP，如果本条记录的“响应动作”

查看更多 →

如果您的网站已接入Web应用防火墙（Web Application Firewall，简称WAF）进行安全防护，您可以通过ELB来设置源站服务器的访问控制策略，只放行WAF回源IP段，防止黑客获取您的源站IP后绕过WAF直接攻击源站。详见《Web应用防火墙用户指南》。 父主题： 负载均衡器

查看更多 →

配置CC攻击防护规则防御CC攻击 区域封禁 地理位置访问控制 配置地理位置访问控制规则拦截/放行特定区域请求 网页防篡改 网页防篡改 配置网页防篡改规则避免静态网页被篡改 信息泄露防护 防敏感信息泄露 配置防敏感信息泄露规则避免敏感信息泄露 基础防护规则迁移 在阿里云WAF控制台，在左侧导航树中，选择“防护配置

查看更多 →

售通知。 图1 防护原理 流量经WAF返回源站的过程称为回源。WAF通过回源IP代替客户端发送请求到源站服务器，接入WAF后，在客户端看来，所有的目标IP都是WAF的IP，从而隐藏源站IP。 图2 回源IP 防护原理（云模式-ELB接入） 通过云模式-ELB接入的方式将网站接入WAF防护，其原理如下：

查看更多 →

开始使用 配置WAF 登录“Web应用防火墙WAF”控制台，进入“网站设置”页面，单击回源IP加白，按照操作步骤完成配置。 图1 网站设置 域名接入进度变为已接入，说明配置成功。 图2 配置成功 访问测试 清理浏览器缓存。 在本地电脑的浏览器中输入防护域名，测试网站域名是否能正常访问。

查看更多 →

.. proxy_pass http://x.x.x.x; } 原因三：源站IP误配置为WAF的回源IP或WAF前代理的IP 如果“源站地址”误配置为WAF的回源IP或WAF前代理的IP，会造成访问死循环，报523错误。 解决办法： 检测源站服务器的配置，将“源站地址”修

查看更多 →

实例对应的子网IP），以防止源站IP暴露后被黑客直接攻击。 源站服务器上的安全软件很容易认为独享引擎的回源IP是恶意IP，有可能触发屏蔽WAF回源IP的操作。一旦WAF的回源IP被屏蔽，WAF的请求将无法得到源站的正常响应，因此，网站以“独享模式”接入WAF防护后，您需要在源站服

查看更多 →